Telepítési útmutató a Microsoft Sentinelhez
Ez a cikk bemutatja azokat a tevékenységeket, amelyek segítenek a Microsoft Sentinel üzembe helyezésének megtervezésében, üzembe helyezésében és finomhangolásában.
Tervezés és előkészítés – áttekintés
Ez a szakasz bemutatja azokat a tevékenységeket és előfeltételeket, amelyek segítenek megtervezni és előkészíteni a Microsoft Sentinel üzembe helyezése előtt.
A terv- és előkészítési fázist általában egy SOC-tervező vagy kapcsolódó szerepkör hajtja végre.
| Lépés | Részletek |
|---|---|
| 1. Áttekintés és előfeltételek tervezése és előkészítése | Tekintse át az Azure-bérlő előfeltételeit. |
| 2. Munkaterület architektúrája megtervezve | A Log Analytics-munkaterület megtervezése engedélyezve van a Microsoft Sentinelhez. Fontolja meg az olyan paramétereket, mint például: - Akár egyetlen bérlőt, akár több bérlőt fog használni – Az adatgyűjtésre és tárolásra vonatkozó megfelelőségi követelmények – A Microsoft Sentinel-adatokhoz való hozzáférés szabályozása Tekintse át az alábbi cikkeket: 1. Munkaterület architektúrája 3. Minta munkaterülettervek áttekintése 4. Több munkaterület előkészítése |
| 3. Az adatösszekötők rangsorolása | Határozza meg, hogy mely adatforrások és milyen adatméret-követelmények szükségesek ahhoz, hogy pontosan kivetítse az üzembe helyezés költségvetését és ütemtervét. Ezt az információt az üzleti használati eset áttekintése során vagy egy már meglévő SIEM kiértékelésével határozhatja meg. Ha már rendelkezik SIEM-sel, elemezze az adatokat, hogy megértse, mely adatforrások biztosítják a legnagyobb értéket, és a Microsoft Sentinelbe kell beszúrni őket. |
| 4. Szerepkörök és engedélyek tervezése | Az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) szerepköröket hozhat létre és rendelhet hozzá a biztonsági üzemeltetési csapaton belül, hogy megfelelő hozzáférést biztosítson a Microsoft Sentinelhez. A különböző szerepkörök részletesen szabályozhatják, hogy a Microsoft Sentinel felhasználói mit láthatnak és tehetnek. Az Azure-szerepkörök közvetlenül a munkaterületen, vagy egy olyan előfizetésben vagy erőforráscsoportban rendelhetők hozzá, amelyhez a munkaterület tartozik, amelyet a Microsoft Sentinel örököl. |
| 5. Költségek tervezése | Kezdje el megtervezni a költségvetést, figyelembe véve az egyes tervezett forgatókönyvek költségvonzatait. Győződjön meg arról, hogy a költségvetés fedezi a Microsoft Sentinel és az Azure Log Analytics adatbetöltési költségeit, az üzembe helyezett forgatókönyveket és így tovább. |
Az üzembe helyezés áttekintése
Az üzembe helyezési fázist általában SOC-elemző vagy kapcsolódó szerepkörök hajtják végre.
| Lépés | Részletek |
|---|---|
| 1. A Microsoft Sentinel, az állapot és a naplózás, valamint a tartalom engedélyezése | Engedélyezze a Microsoft Sentinelt, engedélyezze az állapot- és naplózási funkciót, és engedélyezze a szervezet igényeinek megfelelően azonosított megoldásokat és tartalmakat. A Microsoft Sentinel API-val történő előkészítéséhez tekintse meg a Sentinel előkészítési állapotainak legújabb támogatott verzióját. |
| 2. Tartalom konfigurálása | Konfigurálja a Microsoft Sentinel biztonsági tartalmak különböző típusait, amelyekkel észlelheti, figyelheti és reagálhat a rendszerek biztonsági fenyegetéseire: adatösszekötőkre, elemzési szabályokra, automatizálási szabályokra, forgatókönyvekre, munkafüzetekre és figyelőlistákra. |
| 3. Munkaterületek közötti architektúra beállítása | Ha a környezet több munkaterületet igényel, most már beállíthatja őket az üzembe helyezés részeként. Ebből a cikkből megtudhatja, hogyan állíthatja be a Microsoft Sentinelt, hogy több munkaterületre és bérlőre is kiterjedjen. |
| 4. Felhasználói és entitás viselkedéselemzésének engedélyezése (UEBA) | Az UEBA funkció engedélyezése és használata az elemzési folyamat gördülékenyebbé tételéhez. |
| 5. Interaktív és hosszú távú adatmegőrzés beállítása | Állítson be interaktív és hosszú távú adatmegőrzést, hogy a szervezet hosszú távon megőrizze a fontos adatokat. |
Finomhangolás és áttekintés: Az üzembe helyezés utáni ellenőrzőlista
Tekintse át az üzembe helyezés utáni ellenőrzőlistát, hogy meggyőződjön arról, hogy az üzembe helyezési folyamat a várt módon működik, és hogy az üzembe helyezett biztonsági tartalom az igényeinek és használati eseteinek megfelelően működik és védi a szervezetet.
A finomhangolási és felülvizsgálati fázist általában soc mérnök vagy kapcsolódó szerepkörök hajtják végre.
| Lépés | Műveletek |
|---|---|
| ✅Incidensek és incidensfolyamatok áttekintése | - Ellenőrizze, hogy az incidensek és a látott incidensek száma tükrözi-e a környezetében ténylegesen zajló eseményeket. – Ellenőrizze, hogy az SOC incidensfolyamata működik-e az incidensek hatékony kezelése érdekében: Különböző típusú incidenseket rendelt hozzá az SOC különböző rétegeihez/rétegeihez? További információ az incidensek navigálásáról és kivizsgálásáról , valamint az incidensfeladatok használatáról. |
| ✅Elemzési szabályok áttekintése és finomhangolása | - Az incidensek áttekintése alapján ellenőrizze, hogy az elemzési szabályok a várt módon aktiválódnak-e, és hogy a szabályok tükrözik-e az Önt érdeklő incidenstípusokat. - A hamis pozitív értékek kezelése automatizálással vagy ütemezett elemzési szabályok módosításával. – A Microsoft Sentinel beépített finomhangolási képességeket biztosít az elemzési szabályok elemzéséhez. Tekintse át ezeket a beépített megállapításokat, és valósítsa meg a vonatkozó javaslatokat. |
| ✅Automatizálási szabályok és forgatókönyvek áttekintése | – Az elemzési szabályokhoz hasonlóan ellenőrizze, hogy az automatizálási szabályok a várt módon működnek-e, és tükrözik-e azokat az incidenseket, amelyek miatt aggódik, és érdeklik. – Ellenőrizze, hogy a forgatókönyvek a várt módon reagálnak-e a riasztásokra és incidensekre. |
| ✅Adatok hozzáadása figyelőlistákhoz | Ellenőrizze, hogy a figyelőlisták naprakészek-e. Ha bármilyen változás történt a környezetben, például új felhasználók vagy használati esetek, frissítse a figyelőlistákat ennek megfelelően. |
| ✅Kötelezettségvállalási szintek áttekintése | Tekintse át az eredetileg beállított kötelezettségvállalási szinteket , és ellenőrizze, hogy ezek a szintek tükrözik-e az aktuális konfigurációt. |
| ✅A betöltési költségek nyomon követése | A betöltési költségek nyomon követéséhez használja az alábbi munkafüzetek egyikét: – A Munkaterület használati jelentés munkafüzete biztosítja a munkaterület adatfelhasználási, költség- és használati statisztikáit. A munkafüzet megadja a munkaterület adatbetöltési állapotát, valamint az ingyenes és számlázható adatok mennyiségét. A munkafüzet logikája segítségével figyelheti az adatbetöltést és a költségeket, valamint egyéni nézeteket és szabályalapú riasztásokat hozhat létre. – A Microsoft Sentinel Cost munkafüzet jobban áttekinti a Microsoft Sentinel költségeit, beleértve a betöltési és adatmegőrzési adatokat, a jogosult adatforrások betöltési adatait, a Logic Apps számlázási adatait stb. |
| ✅Adatgyűjtési szabályok (DCRs) finomhangolása | – Ellenőrizze, hogy a DCR-ek tükrözik-e az adatbetöltési igényeket és a használati eseteket. – Szükség esetén a betöltési idő átalakításával kiszűrheti az irreleváns adatokat még azelőtt, hogy azokat először tárolták volna a munkaterületen. |
| ✅Elemzési szabályok ellenőrzése a MITRE-keretrendszerben | Ellenőrizze a MITRE-lefedettséget a Microsoft Sentinel MITRE oldalán: A MITRE ATT&CK-keretrendszer® taktikái és technikái alapján megtekintheti a munkaterületen már aktív és konfigurálható észleléseket, valamint azokat, amelyek konfigurálhatók. |
| ✅Gyanús tevékenység keresése | Győződjön meg arról, hogy az SOC rendelkezik a proaktív veszélyforrás-kereséshez szükséges folyamatsal. A vadászat egy olyan folyamat, amelyben a biztonsági elemzők felderítetlen fenyegetéseket és rosszindulatú viselkedéseket keresnek. A hipotézis létrehozásával, az adatokon való kereséssel és a hipotézis érvényesítésével meghatározzák, hogy mit kell tenni. A műveletek közé tartozhat új észlelések létrehozása, új fenyegetésfelderítés vagy új incidensek felpörgetése. |
Kapcsolódó cikkek
Ebben a cikkben áttekintette a Microsoft Sentinel üzembe helyezését segítő egyes fázisokban végzett tevékenységeket.
Attól függően, hogy melyik fázisban van, válassza a megfelelő következő lépéseket:
- Tervezés és előkészítés – Az Azure Sentinel üzembe helyezésének előfeltételei
- Üzembe helyezés – A Microsoft Sentinel és a kezdeti funkciók és tartalmak engedélyezése
- Finomhangolás és áttekintés – Navigálás és incidensek kivizsgálása a Microsoft Sentinelben
Ha végzett a Microsoft Sentinel üzembe helyezésével, folytassa a Microsoft Sentinel funkcióinak megismerésével, és tekintse át a gyakori feladatokat ismertető oktatóanyagokat:
- Syslog-adatok továbbítása Log Analytics-munkaterületre a Microsoft Sentinellel az Azure Monitor Agent használatával
- Táblaszintű megőrzés konfigurálása
- Fenyegetések észlelése elemzési szabályokkal
- Ip-címek hírnevének automatikus ellenőrzése és rögzítése incidensekben
- Fenyegetésekre való reagálás automatizálással
- Incidensentitások kinyerése nem natív művelettel
- Vizsgálat az UEBA használatával
- Teljes felügyelet létrehozása és monitorozása
Tekintse át a Microsoft Sentinel üzemeltetési útmutatójában azokat a rendszeres SOC-tevékenységeket, amelyeket naponta, hetente és havonta érdemes elvégezni.